Архив

WinScript.Rabbit — 10 строк, которые грозят потрясти мир!

Последняя неделя октября 1998 года принесла сюрприз. Специалисты Лаборатории Касперского обнаружили компьютерный вирус, действующий на неизвестном ранее принципе: вирус заражает скрипты Windows (программы на командном языке Windows). При запуске вирус ищет на диске другие файлы -скрипты и записывается вместо них. Самым опасным при этом является тот факт, что вирус в состоянии распространяться через сеть Интернет — современные броузеры выполняют зараженные скрипты на локальном компьютере, даже если они расположены на удаленном Web-сервере.

Идея подобного вируса уже ранее была реализована в нескольких вирусах для UNIX. В конце 80-х годов вирусы, написанные на командных языках клонов UNIX, стали настоящим бедствием глобальных компьютерных сетей того времени. Наибольшую известность среди них получили сетевые вирусы-черви «Cristmas Tree», «HI.COM», «Wank Worm». Не исключено, что вирус, написанный на скриптах Windows, открывает новую эру сетевых компьютерных вирусов-червей.

Обнаруженный вирус является первым известным вирусом, поражающим скрипты Windows. Он предельно прост — содержит всего чуть более 10 команд. Этот вирус является, скорее всего, пробой пера одного из «вирусописателей» достаточно известной хакерской группы «CodeBreakers». В вирусе присутствует ряд неточностей, моментально демаскирующих появление вируса в системе: при запуске вируса с удаленного Web-сервера с помощью броузера вирус заражает все файлы в кеше броузера и копирует их в Desktop компьютера (поскольку для броузера текущим каталогом является Desktop). При этом Desktop компьютера оказывается заполненным иконками зараженных скриптов — вирус размножается как кролик, что и послужило основанием для его имени: WinScript.Rabbit.

Несмотря на эти неточности и простоту своего кода, вирус несет потенциальную угрозу для всех пользователей Интернет. Базируясь на возможностях современных глобальных сетей, вирус имеет в своем распоряжении мощный механизм распространения. Не исключено, что скрипт-вирус «Rabbit» является «первой ласточкой», по образу и подобию которой будут созданы новые вирусы, использующие тот же принцип размножения.

Технические детали

В будущем возможно появление целой серии подобных вирусов, заражающей не только скрипт-файлы, но и другие элементы операционной системы Windows и даже Web-сервера. Вирус работоспособен под всеми версиями Windows32 (Windows95/98/NT), где имеется Microsoft Scripting Host. В Windows98 и NT 5.0 поддержка скриптов является стандартной функцией. В других версиях Windows и Windows NT обработка скриптов также возможна, если установлен специальный апдейт.

В целях безопасности Лаборатория Касперского рекомендует всем пользователям Windows 95/98/NT установить встроенную в броузер защиту программы AntiViral Toolkit Pro (AVP), для детектирования и удаления известных на сегодняшний день скрипт-вирусов. Это включено в последний апдейт AVP.

В ближайшем будущем Лабораторией Касперского планируется выпуск специальной версии AVP Inspector for Web Server, детектирующей все изменения на страницах Web-серверов.

WinScript.Rabbit — 10 строк, которые грозят потрясти мир!

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике